Hinweisgebersystem: Compliance mit Gesetz 2/2023 einfach gemacht

Der spanische Hinweisgeberrahmen wird durch Gesetz 2/2023 vom 20. Februar zum Schutz von Personen, die Regulierungsverstöße melden, und zur Bekämpfung von Korruption geschaffen, mit dem die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern umgesetzt wurde. Gesetz 2/2023 verpflichtet private Unternehmen mit 50 oder mehr Mitarbeitern, öffentliche Stellen und alle Unternehmen, die im Finanzdienstleistungsbereich tätig sind, unabhängig von ihrer Größe, ein Internes Informationssystem (Sistema Interno de Información, SII) mit spezifischen Anforderungen einzurichten: ein vertraulicher und optional anonymer Meldekanal, eine benannte verantwortliche Person (Responsable del Sistema), Bestätigung innerhalb von 7 Tagen, eine inhaltliche Antwort innerhalb von 3 Monaten, Antiretaliationsschutz für Melder sowie Koordination mit den DSGVO-Pflichten für über den Kanal verarbeitete personenbezogene Daten. Nicht konforme Organisationen riskieren Sanktionen von bis zu 1 Million EUR für schwerwiegende Verstöße.

Unser Team verbindet Fachwissen in regulatorischer Compliance, Arbeitsrecht und Datenschutz, um Hinweisgebersysteme zu implementieren, die in der Praxis funktionieren – nicht nur auf dem Papier.

Die Lücke zwischen einem Kanal und Compliance

Gesetz 2/2023, das die EU-Richtlinie 2019/1937 in spanisches Recht umsetzt, schafft einen umfassenden Rahmen für den Hinweisgeberschutz, der weit über die Einrichtung eines Kontaktformulars hinausgeht. Das Gesetz erfordert ein strukturiertes Internes Informationssystem mit einer formal benannten verantwortlichen Person, gesetzlichen Bearbeitungsfristen, echten Vertraulichkeitsgarantien und effektivem Schutz gegen Vergeltungsmaßnahmen. Organisationen, die einen generischen Posteingang oder ein Drittanbieter-Hinweisgebertool installiert haben, ohne das System darum herum zu strukturieren, sind technisch nicht konform – und potenziell Sanktionen von bis zu 1 Million EUR ausgesetzt.

Ein System gestalten, das unter Druck funktioniert

Der erste Schritt bei jeder Implementierung ist das Systemdesign. Ein Fertigungsunternehmen mit 60 Mitarbeitern und eine Finanzdienstleistungsgruppe mit 5.000 Mitarbeitern benötigen grundlegend unterschiedliche Architekturen. Wir analysieren die Organisationsstruktur, das Risikoprofil und die Unternehmenskultur, um zu empfehlen, ob der Kanal intern durch die benannte verantwortliche Person verwaltet oder an einen unabhängigen Dritten ausgelagert werden sollte. Die Auslagerung verleiht potenziellen Hinweisgebern in der Regel mehr wahrgenommene Glaubwürdigkeit – ein entscheidender Faktor dafür, ob Mitarbeiter das System tatsächlich nutzen – und beseitigt Interessenkonflikte, die entstehen, wenn der Kanal intern verwaltet wird.

Integration mit Straf-Compliance

Die Beziehung zwischen einem Hinweisgeberkanal und einem Straf-Compliance-Programm ist direkt und rechtlich bedeutsam. Spanische Gerichte haben bestätigt, dass ein funktionsfähiges internes Meldesystem eines der Elemente ist, das sie bei der Beurteilung prüfen, ob das Compliance-Programm einer juristischen Person entlastende Wirkung auf die strafrechtliche Haftung haben sollte. Ein Kanal, der auf dem Papier existiert, aber keine Untersuchungen und keine Korrekturmaßnahmen auslöst, wird diesem Standard nicht gerecht. Wir gestalten das Untersuchungsprotokoll so, dass es die dokumentierten Beweismittel liefert, die Compliance-Programme erfordern.

DSGVO-Aspekte spezifisch für Hinweisgebende

Die Verarbeitung personenbezogener Daten in Hinweisgebersystemen stellt spezifische Herausforderungen dar, die eine enge Koordination mit dem Datenschutzbeauftragten erfordern. Die AEPD hat spezifische Leitlinien zu Folgenabschätzungen für diese Systeme, Aufbewahrungsfristen für Daten sowohl von Hinweisgebern als auch von gemeldeten Personen sowie die Grenzen des Informationsrechts der gemeldeten Person herausgegeben, wenn dieses die Untersuchung gefährden könnte. Wir integrieren all diese Anforderungen von Anfang an und vermeiden die nachträgliche DSGVO-Sanierung, mit der viele Organisationen konfrontiert sind, nachdem sie ihre Kanäle ohne angemessene Datenschutzplanung eingeführt haben.